【正文】 ， 因此無需增加額外費(fèi)用 。 ? 對于用戶和應(yīng)用透明 ， 無須改變使用習(xí)慣 。 包過濾路由器的缺點(diǎn)： ? 定義包過濾器比較復(fù)雜 ， 要求網(wǎng)絡(luò)管理員對 Inter服務(wù)有深入了解； ? 僅在網(wǎng)絡(luò)層和傳輸層實(shí)現(xiàn) 。 僅局限于網(wǎng)絡(luò)層和傳輸層實(shí)現(xiàn)的包過濾技術(shù) ，只在網(wǎng)絡(luò)層和傳輸層對數(shù)據(jù)進(jìn)行識別和處理 ， 對高層的協(xié)議和信息沒有識別和處理的能力 ， 這就使得它對通過高層進(jìn)行的侵襲無防范能力 。 無法抵御數(shù)據(jù)驅(qū)動(dòng)型攻擊； ? 包過濾路由器增加會消耗路由器的內(nèi)存和 CPU的資源 ， 使路由器吞吐量下降； ? 缺乏可審核性 。 包過濾器只是對未能通過檢查的數(shù)據(jù)包做簡單的刪除 ，但并不對該入侵?jǐn)?shù)據(jù)包的情況進(jìn)行記錄 ， 也不向系統(tǒng)匯報(bào) ， 從而不具有安全保障系統(tǒng)所要求的可審核性 。 ? 不能防止來自內(nèi)部的侵害 。 防火墻雖然可以防止來自外部的入侵 ， 但不能防止來自內(nèi)部人員的破壞 。 ? 包過濾器只能設(shè)置靜態(tài)的安全過濾規(guī)則 ， 難以適應(yīng)動(dòng)態(tài)的安全要求 。 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 55 (2)應(yīng)用層網(wǎng)關(guān) (Application Gateway) 應(yīng)用層網(wǎng)關(guān)防火墻能夠?qū)崿F(xiàn)比包過濾器更嚴(yán)格的安全策略 ， 它主要在應(yīng)用層網(wǎng)關(guān)上安裝公司代理軟件 （ Proxy） 來實(shí)現(xiàn) 。 每個(gè)代理模塊分別針對不同的應(yīng)用 。 如： Tel Proxy負(fù)責(zé) Tel在防火墻的轉(zhuǎn)發(fā)； HTTP Proxy負(fù)責(zé) WWW； FTP Proxy負(fù)責(zé) FTP等 。 應(yīng)用網(wǎng)關(guān)技術(shù)是建立在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾技術(shù)，它在專用網(wǎng)和外部網(wǎng)之間建立一個(gè)單獨(dú)的子網(wǎng)，它將內(nèi)部網(wǎng)屏蔽起來。此子網(wǎng)有一個(gè)代理主機(jī)、一個(gè)路由器和一個(gè)較復(fù)雜的網(wǎng)關(guān)與內(nèi)部相連，另一個(gè)路由器和網(wǎng)關(guān)與外部相連。進(jìn)出用戶通過網(wǎng)關(guān)時(shí)必須在應(yīng)用級上與代理主機(jī)連接。代理主機(jī)對其進(jìn)行認(rèn)證，控制進(jìn)出，并進(jìn)行審計(jì)追蹤。 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 56 應(yīng)用層網(wǎng)關(guān)優(yōu)點(diǎn)： ? 能夠針對各種服務(wù)進(jìn)行全面控制 ? 支持可靠的身份認(rèn)證 ? 提供詳細(xì)的審計(jì)功能和方便的日志分析 ? 相對于包過濾路由器來說更容易配置和測試 應(yīng)用層網(wǎng)關(guān)的缺點(diǎn)： 非透明性，要求用戶改變自己的使用習(xí)慣，一般要對用戶進(jìn)行簡單的培訓(xùn)。 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 57 應(yīng)用級的防火墻是建立在應(yīng)用層網(wǎng)關(guān)基礎(chǔ)上的，它的三種常見類型 : ? 雙穴主機(jī)網(wǎng)關(guān) (Dual Homed Gateway) ? 屏蔽主機(jī)網(wǎng)關(guān) (Screened Host Gateway) ? 屏蔽子網(wǎng)網(wǎng)關(guān) (Screened Sub Gateway) 它們有一個(gè)共同點(diǎn)：即都需要有一臺主機(jī)，通常被稱為堡壘主機(jī) (Bastion Host)的機(jī)器來充當(dāng)應(yīng)用程序轉(zhuǎn)發(fā)者、通信登記和服務(wù)提供者的角色。因此它在防火墻中起著重要的作用，它的安全性關(guān)系到整個(gè)網(wǎng)絡(luò)的安全。 應(yīng)用級防火墻 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 58 雙穴主機(jī)網(wǎng)關(guān)的結(jié)構(gòu)如下圖所示 。 其中 ， 堡壘主機(jī)充當(dāng)應(yīng)用層網(wǎng)關(guān) ，在此主機(jī)中需安裝有兩塊網(wǎng)卡 ， 一塊用于連接到被保護(hù)的內(nèi)部網(wǎng) ， 另一塊則用于連接到 Inter上 ， 并在堡壘主機(jī)上運(yùn)行防火墻軟件 ， 被保護(hù)的內(nèi)部網(wǎng)與 Inter之間無法直接通信 ， 必須通過該主機(jī) ， 這樣就可以將被保護(hù)網(wǎng)很好地屏蔽起來 ， 而 Intra是通過堡壘主機(jī)獲得 Inter的服務(wù)的 。 這種應(yīng)用層網(wǎng)關(guān)能有效地保護(hù)和屏蔽 Intra， 且所需的硬件設(shè)備較少 ， 容易驗(yàn)證其正確性 ， 因而是目前應(yīng)用得較多的一種防火墻；但堡壘主機(jī)容易受到攻擊 ， 它本身無法保護(hù)自己 ， 一旦受破壞 ， 實(shí)際上就變成一臺沒有尋址功能的路由器 ， 一個(gè)有經(jīng)驗(yàn)的攻擊者就能使它尋址而使受保護(hù)網(wǎng)完成開放 。 1）雙穴主機(jī)網(wǎng)關(guān) (Dual Homed Gateway) 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 59 雙宿網(wǎng)關(guān)是一種擁有兩個(gè)連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻。兩個(gè)網(wǎng)絡(luò)之間的通信可通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來完成。 所以為了保證內(nèi)部網(wǎng)的安全，雙重宿主主機(jī)應(yīng)具有強(qiáng)大的身份認(rèn)證系統(tǒng)，才可以阻擋來自外部不可信網(wǎng)絡(luò)的非法登錄。 NIC 代理 服務(wù)器 NIC Inter 內(nèi)部網(wǎng)絡(luò) 雙重宿主主機(jī)需要細(xì)細(xì)驗(yàn)看所通過的數(shù)據(jù)包的內(nèi)容 ， 并將其改頭換面重新包裝 。 如果數(shù)據(jù)包中有違禁的東西 ， 則根據(jù)內(nèi)部網(wǎng)絡(luò)的安全策略進(jìn)行處理 。 例如外部網(wǎng)絡(luò)的 A數(shù)據(jù)包通過防火墻后則變成了 A’數(shù)據(jù)包 ， 內(nèi)部網(wǎng)絡(luò)的 B數(shù)據(jù)包通過防火墻后就變成了 B’數(shù)據(jù)包 。 在雙重宿主主機(jī)上 ， 有內(nèi)外數(shù)據(jù)的緩沖區(qū) ， 當(dāng)通信繁忙時(shí)也可以起緩沖的作用 。 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 60 它是綜合了包過濾器和雙穴主機(jī)網(wǎng)關(guān)兩種結(jié)構(gòu)而成的 ， 為了保護(hù)堡壘主機(jī) ， 而將它置入被保護(hù)網(wǎng)的范圍中 ， 也即在堡壘主機(jī)與 Inter之間增設(shè)一個(gè)屏蔽路由器 (Screened Router)。 它不允許 Inter對被保護(hù)網(wǎng)進(jìn)行直接訪問 ， 只允許對堡壘主機(jī)進(jìn)行訪問 ， 它可以有選擇的允許那些值得信任的數(shù)據(jù)通過屏蔽路由器 。 與前面的雙穴主機(jī)網(wǎng)關(guān)相似 ， 也是在堡壘主機(jī)上運(yùn)行防火墻軟件 。 屏蔽主機(jī)網(wǎng)關(guān)是一種更為靈活安全的防火墻軟件 ， 它可以利用屏蔽路由器增加一層安全保護(hù) ， 但此時(shí)的路由器處于易受攻擊的地位 ， 一旦被攻破 ， 所有的用戶都可隨意進(jìn)出網(wǎng)絡(luò)；另外 ， 屏蔽路由器的安全規(guī)則配置要求較高 ， 必須確保它和堡壘主機(jī)中的訪問控制表協(xié)調(diào)一致 ， 避免出現(xiàn)自相矛盾的情況 。 2）屏蔽主機(jī)網(wǎng)關(guān) (Screened Host Gateway) 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 61 屏蔽主機(jī)防火墻強(qiáng)迫所有的外部主機(jī)與一個(gè)堡壘主機(jī)相連接，而不讓它們直接與內(nèi)部主機(jī)相連。屏蔽主機(jī)防火墻由包過濾路由器和堡壘主機(jī)組成。這個(gè)防火墻系統(tǒng)提供的安全等級比包過濾防火墻系統(tǒng)要高，因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）。 過濾路由器 堡壘主機(jī) Inter 內(nèi)部網(wǎng)絡(luò) 堡壘主機(jī)位于內(nèi)部的網(wǎng)絡(luò)上，在屏蔽的路由器上的數(shù)據(jù)包過濾是按這樣一種方式設(shè)置的：即堡壘主機(jī)是互聯(lián)網(wǎng)連接到內(nèi)部網(wǎng)絡(luò)系統(tǒng)的橋梁，任何外部的系統(tǒng)試圖訪問內(nèi)部的系統(tǒng)或服務(wù)，都必須連接到這臺堡壘服務(wù)器上。因此堡壘主機(jī)需要擁有高等級的安全 。 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 62 這種結(jié)構(gòu)是在屏蔽主機(jī)網(wǎng)關(guān)的結(jié)構(gòu)基礎(chǔ)上發(fā)展起來的 。 它是在內(nèi)部網(wǎng)和外部網(wǎng)之間設(shè)立一個(gè)被隔離的小型的獨(dú)立子網(wǎng) ， 并可將向 Inter上的用戶提供的部分信息放到該子網(wǎng)中 。 這部分存放在子網(wǎng)上公用信息服務(wù)器上的信息 ， 應(yīng)允許被外部網(wǎng)上的用戶直接讀取 。 具體的做法是在子網(wǎng)與 Inter之間設(shè)置一個(gè)外部路由器來對子網(wǎng)進(jìn)行保護(hù) ， 子網(wǎng)到Intra之間采用屏蔽主機(jī)網(wǎng)關(guān)對 Intra進(jìn)行保護(hù) 。 這樣 ， Inter上的用戶要訪問公共信息服務(wù)器時(shí) ， 只須通過外部路由器即可 。 但如果用戶要訪問 Intra中的信息時(shí) ， 則需通過外部和內(nèi)部路由器后 ， 再去訪問堡壘主機(jī) ， 然后再通過主機(jī)訪問 Intra。 3）屏蔽 子網(wǎng) 網(wǎng)關(guān) (Screened Sub Gateway) 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 63 外部 過濾路由器 堡壘主機(jī) Inter 內(nèi)部網(wǎng)絡(luò) 內(nèi)部 過濾路由器 屏蔽子網(wǎng)防火墻系統(tǒng)用了兩個(gè)包過濾路由器和一個(gè)堡壘主機(jī)。這個(gè)防火墻系統(tǒng)建立的是最安全的防火墻系統(tǒng)，因?yàn)樵诙x了“非軍事區(qū)”網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應(yīng)用層安全功能。網(wǎng)絡(luò)管理員將堡壘主機(jī)，信息服務(wù)器， Modem組，以及其它公用服務(wù)器放在“非軍事區(qū)”網(wǎng)絡(luò)中。 屏蔽子網(wǎng)體系 增加額外的安全層到被屏蔽的主機(jī)體系中 ， 即通過添加虛擬的內(nèi)部網(wǎng)絡(luò)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)隔開 。 即使侵襲者通過了第一道防火墻 ， 他所看到的是一個(gè)虛擬的內(nèi)部網(wǎng)絡(luò)和堡壘主機(jī) ， 在這個(gè)虛擬的環(huán)境中 ， 他看到的只是一個(gè)假象 ， 并沒有什么實(shí)質(zhì)的東西供他利用；相反 ， 如果他在中間稍有 “ 不慎 ” ， 可能就會露出 “ 馬腳 ” 。 屏蔽子網(wǎng)體系 的最簡單的形式是防火墻為兩個(gè)屏蔽路由器 ， 每一個(gè)都連接到虛擬的內(nèi)部網(wǎng)即周邊網(wǎng) 。 一個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)之間 ，另一個(gè)位于周邊網(wǎng)與外部網(wǎng)之間 （ 通常為互聯(lián)網(wǎng) ） 。 2022/10/23 揚(yáng)州大學(xué)管理學(xué)院 ? 連遠(yuǎn)強(qiáng) 64 電路層網(wǎng)關(guān)是一個(gè)特殊構(gòu)件 ， 它可以由應(yīng)用層網(wǎng)關(guān)來實(shí)現(xiàn) 。 電路層網(wǎng)關(guān)只依賴于 TCP連接 ， 并不進(jìn)行附加的包處理和過濾 。 就像電線一樣 ，只是在內(nèi)部連接和外部連接之間來回拷貝數(shù)據(jù) 。 電路層網(wǎng)關(guān)常用于向外連接 ， 這里網(wǎng)絡(luò)管理員對其內(nèi)部用戶是信任的 。 它的優(yōu)點(diǎn)是堡壘主機(jī)可以被設(shè)置成混合網(wǎng)關(guān) 。 對于進(jìn)入的連接使用應(yīng)用層網(wǎng)關(guān)或代理服務(wù)器 ， 而對于出去的連接使用電路層網(wǎng)關(guān) 。 這樣使得防火墻即能方便內(nèi)部用戶 ， 又能保證內(nèi)部網(wǎng)絡(luò)免于外部攻擊 。 (3）電路層網(wǎng)關(guān)